Здрасте всем. Стоит задача настроить работу удаленных пользователей через тонкий клиент по защищенному каналу. Так, чтобы работа в веб-клиенте по обычному каналу была невозможна.

В точности выполнил инструкцию: http://catalog.mista.ru/public/146288/   . В итоге браузер упрямо пишет, что SSL получило запись, длина которой превышает максимально допустимую. Долго гуглил и "воевал" с настройками, перечитал кучу инфы, но в тему так до конца и не въехал. Плюнул, снес публикацию и apache. Настраиваю заново.

В то же время люди пишут здесь: v8: Работа тонкого клиента через защищеный канал 1с 8.2 "Управляемое приложение" , что переход на https вообще не требует какой-то дополнительной возни с сертификатами, и в свежей документации платформы упоминаются волшебные параметры /HttpsForceSSLv3 и AllowSSLv3 .

Ну допустим, запускаю я тонкий клиент на удаленной машине с /HttpsForceSSLv3. Как понять, в каком режиме в данный момент осуществлено подключение? И как добиться в то же время, что бы по http работать через браузер было невозможно?

Буду рад любым высказываниям.

ап

(0) обрисуй систему.
Есть маршрутизатор? Сервер за файр-воллом или в DMZ? что ещё есть кроме твоего сервера?

windows server 2008 r2 . В экране открыты 80 и 443. На маршрутизаторе DMZ для локального адреса машины.

Подключение по http извне - без проблем.  Подключение из браузера непосредственно на машине - без проблем. Пока, конечно, не закомментируешь "Listen 80" в httpd.conf

Но ...

... но речь пока не о подключении извне. Для начала непосредственно на машине бы добиться работы apache по 443-му порту.

(4) из внутренней сети попробуй, и посмотри настройки DMZ может они рубят 443 порт, правила файрволла посмотри на самой машине, могут быть проблемы из-за них

(5) а в браузере на самой машине должно работать подключение по https ?  для этого надо "ваять" файлы с сертификатом и ключом? Просто я прежние достижения стер, поставил апач заново для чистоты экспериментов и сейчас хочу найти правильный путь. Опять идти по http://catalog.mista.ru/public/146288/ ?  Или есть какое-то бесхитростное решение?

В сети есть несколько неплохих статей о настройке SSL в apache, но меня постоянно не покидает ощущение, что как бы точно я ни следовал этим мануалам, все же, пока не буду досконально представлять механизм взаимодействия платформы с веб-сервером, ничего не выйдет, потому что у платформы свои взгляды на все эти виртуальные хосты и вложенные конструкции и инструкции в httpd.conf и подключенных файлах.

(6) что значит бесхитросное? мануал великолепен, ничего лишнего и все разжевано.

И разбираться в этом - нужен источник мат части. И я уже весь ИТС, кажется, обшарил - там на эту тему практически ничего нет, кроме самых общих фраз о принципах работы.

(8)  Да, мануал по ссылке наиподробнейший. я глазам не поверил, когда все выполнил, а оно не взлетело.

Так все-таки, должно оно работать локально в ОС сервера? Мб пробовать надо только с другой машины и действительно тогда надо учитывать возможное влияние брандмауера и DMZ ?

(10) пробуй с другой машины

т.е. настроить все заново по той же методе и пробовать с другой машины в ЛВС?  Сделаю, только видимо чуть позже - щас юзеры отвлекают

Ключ /HttpsForceSSLv3 нужно использовать только если у вас проблемы при использовании TLS. Он принудительно заставляет тонкий клиент использовать устаревший протокол SSL 3.0, если используется защищенное подключение. А если подключение изначально не защищенное, то он не оказывает никакого воздействия.

(13) да вот и я так понял. по-любому веб-сервер должен для начала возвращать корректные ответы на запросы по 443-му...

В общем, в итоге вдвоем с сисадмином настроили и опубликовали через IIS  :(  Он как-то тяжелее настраивается и работает, имхо, чуть медленнее, зато гораздо более прост в юзании SSL .